而信息系統(tǒng)審計（又稱IT審計）正是幫助企業(yè)及CIO為了解決上述問題，提高信息系統(tǒng)的安全性、可靠性和開發(fā)、運營效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機制。同時，為了確保信息系統(tǒng)的安全、可靠和有效，需要開展由獨立的具有資格的IT審計師對以計算機為核心的信息系統(tǒng)進(jìn)行的IT審計。對于企業(yè)來講管理和業(yè)務(wù)的增加，企業(yè)對于內(nèi)部IT治理的審計更加嚴(yán)格。每年都會有大量的各種級別的內(nèi)外審計，而IT審計也是非常的重要內(nèi)容， 如何做好IT審計成為企業(yè)及CIO關(guān)注的焦點。

 

　　一、IT審計的作用

 

　　1、IT審計顧明思議，就是為了更好的控制IT的風(fēng)險，有效的的幫助規(guī)避風(fēng)險。現(xiàn)階段企業(yè)業(yè)務(wù)的增長，需要信息系統(tǒng)支撐的業(yè)務(wù)是越來越多， 促使企業(yè)在經(jīng)營管理過程中遇到很多的風(fēng)險，企業(yè)在經(jīng)營過程中可以規(guī)避各種各樣的容易看得到的風(fēng)險，比如管理上的缺陷、市場的變化都會企業(yè)的經(jīng)營管理層，做出及時的調(diào)整來應(yīng)對不同的風(fēng)險，而潛在的一個些風(fēng)險，如信息系統(tǒng)存在的風(fēng)險，企業(yè)的經(jīng)營管理層看不到，也意識不到他們會存在風(fēng)險 ， 而許多企業(yè)在某些項目或者企業(yè)退出往往正是由一部分信息系統(tǒng)中的數(shù)據(jù)泄露，而使企業(yè)破產(chǎn)，因此，必須加大對于企業(yè)不僅要對企業(yè)本身的經(jīng)營管理內(nèi)部進(jìn)行審計，同時還要對于支撐管理的信息系統(tǒng)進(jìn)行審計，從而降低企業(yè)的風(fēng)險。

 

　　2、提高IT的價值及CIO的管理思維

 

　　信息系統(tǒng)最大的價值是提高企業(yè)的管理及支撐企業(yè)的業(yè)務(wù)，一旦信息系統(tǒng)本身設(shè)計、開發(fā)存在安全風(fēng)險，那么對于企業(yè)來講， 不僅沒有幫助企業(yè)，反而運用信息系統(tǒng)使企業(yè)面臨比沒有上系統(tǒng)更大的風(fēng)險，因此，加強信息系統(tǒng)本身的審計，才能規(guī)避信息系統(tǒng)帶來的風(fēng)險，實現(xiàn)出信息系統(tǒng)的潛在價值。 同時，在做每一個信息系統(tǒng)開發(fā)時， 如果參與國際審計的標(biāo)準(zhǔn)，可有效的降低風(fēng)險， 同時， 也可提高CIO或者IT經(jīng)理防范風(fēng)險的管理思維。

 

　　二、IT審計的現(xiàn)狀及存在的問題

 

　　縱觀現(xiàn)狀，IT審計在國內(nèi)并不是很成熟，企業(yè)的IT審計并不完善，IT審計更多的是應(yīng)用于銀行、保險等大型的金融類企業(yè)，一些中小企業(yè)對于IT審計的認(rèn)識存在偏見，導(dǎo)致了IT審計在部分中企業(yè)中并沒有應(yīng)用也不成熟。同時，企業(yè)的CIO對IT審計存在一定的認(rèn)識，企業(yè)加強IT審計顯得尤為重要。

 

　　1、IT審計標(biāo)準(zhǔn)不成熟

 

　　我們目前所指的IT審計標(biāo)準(zhǔn)一般是指ISACA制定的信息系統(tǒng)審計準(zhǔn)則。IT審計標(biāo)準(zhǔn)是一套以管理為核心，以法律法規(guī)為保障，以技術(shù)為支撐的信息系統(tǒng)審計框架體系。它同時是一套規(guī)范化的管理框架，詳細(xì)地描述了審計方、開發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務(wù)和職責(zé)等，并從標(biāo)準(zhǔn)的角度對IT審計師能力考核的限定、IT審計機構(gòu)的資質(zhì)認(rèn)定給予了限定。從目標(biāo)上講，IT審計標(biāo)準(zhǔn)跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。 然而， 現(xiàn)階段的IT審計因企業(yè)的不同經(jīng)營性性質(zhì)的不同，很難一套成熟的標(biāo)準(zhǔn)來做。而且不同行業(yè)，不同企業(yè)會有不同的IT審計的標(biāo)準(zhǔn)也不同，因此， 建立行業(yè)化的IT審計標(biāo)準(zhǔn)體系是下一步的CIO所需要考慮的。

 

　　2、IT審計人才急缺

 

　　審計業(yè)務(wù)發(fā)展至今，傳統(tǒng)IT審計工作只是現(xiàn)代審計中一個特別小的組成部分。IT審計最重要工作之一，是發(fā)現(xiàn)被審計單位最重大的風(fēng)險隱患，在認(rèn)定其持續(xù)經(jīng)營的基礎(chǔ)上，再對潛在的真實、公允性發(fā)表審計意見。如果IT審計師認(rèn)為被審計單位的信息系統(tǒng)是業(yè)務(wù)運轉(zhuǎn)的平臺，是風(fēng)險高發(fā)區(qū)，那么對信息系統(tǒng)的安全、穩(wěn)定和有效的評價就成為審計的基礎(chǔ)和重點。因此，IT審計師是開展計算機審計工作的重要推動力量。但目前，因國內(nèi)對于IT審計的重視程度不夠，同時審計水平不是很高， 導(dǎo)致審才人才非常奇缺，如何快速的培養(yǎng)優(yōu)秀的審計人才迫在眉睫。

 

　　三、IT審計實施的必需困素

 

　　1、提高IT審計人員的意識

 

　　做信息化并不難，難得對于企業(yè)老板對于信息化的看法和理解程度，同樣，對于IT審計也是一樣的道理，我們知道IT審計的職能來劃分主要是兩方面， 內(nèi)審和外審。

 

　　外審主要參照第三方咨詢機構(gòu)來幫助企業(yè)IT部門進(jìn)行信息系統(tǒng)審計， 如中國人民銀行早在2000年時候就開始了IT審計，在2004的時候就邀請ITGov中國IT治理研究中心（簡稱ITGov）對來自全行各分支機構(gòu)的40名內(nèi)部審計人員參加了為期4天的信息系統(tǒng)審計培訓(xùn)，強化信息系統(tǒng)審計中理論與實踐的結(jié)合，全面提升了信息系統(tǒng)審計人員的綜合素質(zhì)。而內(nèi)審，主要在企業(yè)內(nèi)部成立于IT審計部門，這個IT審計部門不屬于IT部門也不屬于業(yè)務(wù)部門，它是一個單獨的部門，用以審計企業(yè)的信息系統(tǒng)。 做好IT審計需要提高企業(yè)對于審計的認(rèn)識。企業(yè)的管理不僅要對于外審了如指掌，還要對于企業(yè)的內(nèi)審尤期是IT的內(nèi)外審都要所有了解 ， 做不到精通階段 ，但必須要處于了解的階段。從CIO的角度來看，同樣也是相似的道理，必須要去對于IT審計要有一個清晰的認(rèn)識，只有對于IT審計在意識和思路上認(rèn)識了，才能做好IT審計的第一步。

 

　　“在技術(shù)層面，沒有實現(xiàn)不了的關(guān)健是審計意識的提高”業(yè)內(nèi)某著名的IT審計專家指出， 同時他強調(diào)IT審計重點要把握“三大關(guān)”：

 

　　第一、人員因素都直接影響IT審計的效果，這是IT審計的關(guān)鍵也是根本。

 

　　第二、IT風(fēng)險管理。

 

　　第三、IT本身審計。

 

　　2、找準(zhǔn)IT審計定位點

 

　　做好IT審計并不難，資料顯示，大多數(shù)的IT審計師認(rèn)為，做好信息系統(tǒng)審計就是要找好企業(yè)信息系統(tǒng)的切入點或者叫做定位點。我們知道任何系統(tǒng)都有漏洞，從程序員開發(fā)設(shè)計到業(yè)務(wù)的應(yīng)用信息系統(tǒng)不可避免的會遇到各種各樣的問題。對于CIO來講在配合企業(yè)IT審計部門做IT審計前要首先自身檢查信息系統(tǒng)存在的的問題，然后，在做系統(tǒng)開發(fā)或者項目時，按照Cobit IT治理框架、Iso1335、Iso27001，、COSO、ITIL等來提高信息系統(tǒng)的可用性。

 

　　實踐證明，IT審計必須符合科學(xué)、獨立、審慎的精神。CIO要進(jìn)行認(rèn)真細(xì)致的工作安排，從審計的實際目標(biāo)出發(fā)，選擇實用的方法，依據(jù)相關(guān)的國際IT審計準(zhǔn)則開展相關(guān)工作，通過長期的、持續(xù)的改進(jìn)，強化IT風(fēng)險控制能力，最終降低經(jīng)營風(fēng)險。